Ny vejledning fra Datatilsynet: Brug af cloudleverandører i USA er omfattet “problematisk” lovgivning

22. marts 2022 | Nyheder

Læsetid: 3 minutter

GDPR reglerne kan være svære at navigere i 

Når du bruger Heyloyalty, skal du ikke bekymre dig om din marketing automation overholder reglerne – vi benytter os nemlig af en dansk ESP

 

En ny vejledning fra Datatilsynet om cloudservices beskriver problemerne ved at benytte sig af it-leverandører uden for EU.

Da databeskyttelsesreglerne er teknologineutrale, kan organisationer frit vælge teknologi til behandling af personoplysninger.

Ansvaret for dine løsninger påhviler dig

Når din virksomhed skal vælge cloudservice eller underdatabehandler, er det dit eget ansvar at vurdere, hvorvidt din løsning er lovlig. Hvilket kan være udfordrende, da der er en række gråzoner i lovgivningen. 

Cloudservices er over tid blevet meget udbredt i markedet, og er på mange forretningsområder den primært benyttede it-leverancemodel. Måden de leveres på indebærer dog, at der er visse databeskyttelsesregler, du skal være særligt opmærksom på.

De relevante regler omfatter brugen af databehandlere og underdatabehandlere, behandlingssikkerhed og overførsel af personoplysninger til tredjelande. Tredjelande henviser til lande uden for EU. Her er især USA interessant, da mange cloudservices og underdatabehandlere hører til i USA.

Amerikansk lovgivning opfylder ikke EUs krav

Datatilsynet beskriver hvordan amerikansk lovgivning ikke opfylder EU-rettens krav om proportionalitet ved indgreb i grundlæggende rettigheder:

“FISA 702 bemyndiger den amerikanske regering til at indhente oplysninger om ‘non-U.S. persons’, der med rimelighed kan forventes at befinde sig uden for USA, med henblik på indsamling af ‘foreign intelligence information’. Det sker ved udstedelse af direktiver til ‘electronic communications service providers’ om at udlevere eller foranstalte udlevering af personoplysninger, som leverandøren behandler.”

 Datatilsynet beskriver derudover danske organisationers brug af cloudleverandører i USA som omfattet af ”problematisk” lovgivning. Grundlæggende set betyder det nemlig, at den amerikanske regering kan indhente oplysninger om dine kunder, hvis din organisation benytter sig af en amerikansk cloudservice eller underdatabehandler – hvilket er yderst problematisk ift. gældende EU-lovgivning.

Derudover fortæller Datatilsynet, at virksomheder, der fortsat ønsker at benytte sig af amerikanske cloudservices eller underdatabehandlere, har to muligheder:

  • Enten bør man træffe supplerende foranstaltninger, der imødegår den problematiske lovgivning
  • Eller man skal vurdere, om den pågældende lovgivning vil blive anvendt i praksis med de oplysninger, man ønsker at overføre til leverandøren – en vurdering, der kan være næsten umulig at lave og som minimum kræver et yderst oplyst grundlag.

     

 

Kan du så problemfrit benytte amerikanske cloudservices?

Det korte svar er, nej!
Det kan du på nuværende tidspunkt ikke.

IT-sikkerhedsspecialist og jurist i Datatilsynet, Allan Frank, forklarer til Version2, hvordan cloudservices i USA kan stå i et stort dilemma:

“De skal ind og skrive under på, at de altid følger europæisk lovgivning uanset, hvad de måtte blive mødt med af amerikanske krav. Reelt set skal de sige, at hvis de står i en situation, hvor de bliver tvunget til at vælge mellem europæisk og amerikansk lovgivning, så vælger de europæisk lov.”

Samtidig udtrykker Allan Frank en tvivl om, hvorvidt disse cloudservices vil eller kan vælge europæisk lovgivning fremfor amerikansk.

Dermed frembyder USA ganske enkelt ikke et tilstrækkeligt beskyttelsesniveau af dataoplysninger. Datatilsynet konkluderer, at det vil være vanskeligt at dokumentere, at de konkrete typer af personoplysninger, som du ønsker at overføre til cloudleverandører i USA, ikke vil være genstand for de overvågningsprogrammer, der er autoriseret af bl.a. FISA 702.

I Heyloyalty er vi yderst opmærksomme på det ansvar, der hviler på vores skuldre, når vi behandler data for vores kunder. Vi har derfor valgt at tage konsekvensen af den nuværende situation på dataområdet, og bevæge os væk fra de gråzoner, der er mellem EU-lovgivning og lovgivning i tredjelande.

Siden Heyloyalty opkøbte 50 % af Ubivox, har vi nemlig kunne tilbyde vores kunder en dansk ESP. Det betyder derfor, at vi ikke sender data uden for Europa.

Derfor er Heyloyalty 100 % GDPR compliant.

 

Har du spørgsmål til, hvordan dine data bliver behandlet som kunde i Heyloyalty?
Så er du altid velkommen til at kontakte vores support eller læse vores persondatapolitik.

Kontakt os

Du er som altid mere end velkommen til at tage en snak med os, få en online demo – eller din egen konto. Kontakt os på tlf: 87 300 399 eller customersuccess@heyloyalty.com

Vil du holdes opdateret,
når vi udgiver nye artikler?

Tilmeld dig vores nyhedsbrev

Heyloyalty blog

Få indblik i vores marketing automations og bliv inspireret gennem vores mange blogindlæg omkring både cases, og guides, samt tips og tricks lige her!

Black Friday 2022

BLOG

Sådan forbereder du din e-mail marketing til Black Friday
Læs blogindlæg

iOS 15 update 2021

CASE

Managed solution hjælper Perleshoppen med at spare tid
Læs blogindlæg

5 automations der øger din bundlinjen

BLOG

5 automations der øger bundlinjen
Læs blogindlæg